VPN_讲解.ppt

国内某大型保险公司 国内某大型保险公司 多协议标签交换 MPLS 独立于第二和第三层协议，诸如ATM 和IP。它提供了一种方式，将IP地址映射为简单的具有固定长度的标签，用于不同的包转发和包交换技术。它是现有路由和交换协议的接口，如IP、ATM、帧中继、资源预留协议（RSVP）、开放最短路径优先（OSPF）等等 在MPLS 中，数据传输发生在标签交换路径（LSP）上。LSP 是每一个沿着从源端到终端的路径上的结点的标签序列。现今使用着一些标签分发协议，如标签分发协议（LDP）、RSVP 或者建于路由协议之上的一些协议，如边界网关协议（BGP）及OSPF。因为固定长度标签被插入每一个包或信元的开始处，并且可被硬件用来在两个链接间快速交换包，所以使数据的快速交换成为可能。 MPLS 主要设计来解决网路问题，如网路速度、可扩展性、服务质量（QoS）管理以及流量工程，同时也为下一代IP 中枢网络解决宽带管理及服务请求等问题。 多协议标签交换MPLS最初是为了提高转发速度而提出的。与传统IP路由方式相比，它在数据转发时，只在网络边缘分析IP报文头，而不用在每一跳都分析IP报文头，从而节约了处理时间。 传统的VPN一般是通过GRE（Generic Routing Encapsulation）、L2TP（Layer 2 Tunneling Protocol）、PPTP（Point to Point Tunneling Protocol）、IPSec协议等隧道协议来实现私有网络间数据流在公网上的传送。而LSP本身就是公网上的隧道，所以用MPLS来实现VPN有天然的优势。 基于MPLS的VPN就是通过LSP将私有网络的不同分支联结起来，形成一个统一的网络。基于MPLS的VPN还支持对不同VPN间的互通控制。 CE（Customer Edge）是用户边缘设备，可以是路由器，也可以是交换机或主机。 PE（Provider Edge）是服务商边缘路由器，位于骨干网络。 在骨干网络中，还存在P（Provider），是服务提供商网络中的骨干路由器，不与CE直接相连。P设备只需要具备基本MPLS转发能力，可以将其配置为M-BGP的路由反射器，不维护VPN信息。 基于MPLS的VPN具有以下特点： PE负责对VPN用户进行管理、建立各PE间LSP连接、同一VPN用户各分支间路由分派。 PE间的路由分派通常是用LDP或扩展的BGP协议实现。 支持不同分支间IP地址复用和不同VPN间互通。 减化了寻路步骤，提高了设备性能，加快了报文转发 crypto isakmp policy 1 //配置IKE策略，其中1是策略号，可自定义 encryption 3des//设置加密算法 hash md5//设置散列加密算法 authentication pre-share //配置IKE的验证方法，在此为pre-share，即预共享密钥认证方法 crypto isakmp key 1202 address 2.2.2.2 //设置远端对等体的共享密钥为1202 crypto ipsec transform-set wlgc esp-3des esp-md5-hmac//设置名为“wlgc”的交换集指定AH散列算法为md5,ESP加密算法为3DES access-list 101 permit ip 192.168.1.0 0.0.0.255 192.168.2.0 0.0.0.255//设置ACL crypto map xc 10 ipsec-isakmp //设置加密图，加密图名称为“xc”，序号为10 set peer 2.1.1.2 //设置对端IP地址 set transform-set wlgc //设置隧道的AH及ESP，即将加密图用于交换集 match address 101 //设置匹配101号访问列表 interface FastEthernet0/1 ip address 1.1.1.2 255.255.255.0 no shutdown crypto map xc //将加密图xc应用于此端口，即用其加密 ip route 0.0.0.0 0.0.0.0 1.1.1.1 //设置默认路由 IKE与IPSec安全参数的比较 加密算法 Hash算法 存活时间 DH算法 身份认证 安全协议 封装模式 IKE IPSec IKE阶段2 Host A Host B Router A Router B 10.0.1.3 10.0.2.3 IKE 阶段2 协商IPSec安全参数 建立IPSec SA 协商IPSec安全参数 建立IPSec SA IPSec SA IPSec SA (安全关联，Security